Od 25. května 2018 je v České republice účinné nařízení Evropské unie o ochraně osobních údajů, známé jako GDPR. Toto nařízení, jehož hlavním cílem je chránit osobní údaje občanů členských zemí EU před systematickým, automatizovaným a rozsáhlým sledováním, se vztahuje i na nepodnikatelské subjekty, včetně společenství vlastníků jednotek (SVJ).
Každé SVJ nakládá s osobními údaji, a proto jsou členové výboru či předseda SVJ povinni zajistit implementaci GDPR. Tím se vyhnou případné odpovědnosti za škodu způsobenou SVJ při výkonu své funkce.
Pro dodržení pravidel GDPR je nezbytné, aby SVJ provedlo několik klíčových kroků:
SVJ zpracovává převážně osobní údaje vlastníků bytů a nebytových prostor v domě, tedy hlavně údaje o svých členech. Vlastníkem bytové nebo nebytové jednotky však může být i právnická osoba, na kterou se ochrana osobních údajů nevztahuje, jelikož GDPR chrání pouze osobní údaje identifikovaných nebo identifikovatelných fyzických osob.
Mimo tyto osoby však SVJ zpravidla nakládá i s osobními údaji uživatelů bytů, liší-li se od vlastníků (např. nájemci), a externích dodavatelů z řad fyzických osob. Nejčastěji proto bývají předmětem zpracování ze strany společenství vlastníků:
Pro každý konkrétní účel zpracování osobních údajů je třeba identifikovat příslušný právní důvod. V případě SVJ se jedná převážně o plnění zákonných povinností. Mezi tyto povinnosti patří:
V případě fyzických osob, které SVJ dodávají výrobky nebo služby, bude zpracování jejich osobních údajů probíhat primárně z důvodu plnění smlouvy, kterou s nimi SVJ uzavřelo.
GDPR je založeno na principu zpracování osobních údajů pouze v nezbytném rozsahu. Každý statutární orgán si proto musí posoudit, proč konkrétní osobní údaj potřebuje využívat pro činnost společenství vlastníků jednotek.
Rodná čísla vlastníků bytů SVJ zpravidla ke své činnosti nepotřebují a ani jejich využití SVJ neukládá žádný právní předpis, třebaže lze rodná čísla získat z veřejně dostupného katastru nemovitostí. Praktickou výjimkou pro mnoho početných SVJ by mohlo být automatické hlídání insolvenčního rejstříku.
Na druhé straně existuje zjevná potřeba vlastníky v případě mimořádných událostí operativně kontaktovat, např. při prasklém potrubí, úniku plynu, vloupání. Za takový oprávněný zájem na straně SVJ lze považovat právě předcházení riziku vzniku škody a operativní řešení mimořádných událostí s vlastníky.
Většina SVJ sdílí osobní údaje s různými fyzickými a právnickými osobami, nejčastěji v souvislosti s:
Tyto osoby s osobními údaji poskytnutými SVJ nakládají pro potřeby SVJ a podle pokynů SVJ, a proto na ně musí SVJ pohlížet jako na zpracovatele. SVJ proto musí mít s každým takovým zpracovatelem uzavřenu smlouvu o zpracování osobních údajů v rozsahu požadovaném GDPR.
Pokud SVJ uchovává dokumenty v elektronické podobě na serveru provozovaném třetí osobou anebo v cloudu (např. OneDrive, Google Drive, Dropbox), je i takový poskytovatel z pohledu GDPR považován za zpracovatele osobních údajů a SVJ s ním musí uzavřít smlouvu o zpracování osobních údajů.
GDPR zavádí pravidlo, že osobní údaje mohou být zpracovávány pouze po dobu, po kterou je SVJ potřebuje pro daný účel. Neexistuje jedna univerzální lhůta pro likvidaci osobních údajů, proto je nezbytné přistupovat k jejich zabezpečení selským rozumem.
Pro zajištění ochrany osobních údajů postačí přiměřená opatření:
Certifikovaná skříň pro GDPR je nesmysl a GDPR s žádnou takovou certifikací nepočítá.
GDPR sice odstranilo povinnost registrace u Úřadu pro ochranu osobních údajů, ale zavedlo povinnost vést záznamy o zpracování osobních údajů. Tyto záznamy by měly transparentně popisovat:
Záznamy o zpracování jsou interním dokumentem SVJ a nemusí být vyvěšeny na domovní nástěnce.
Dále by SVJ jako správce osobních údajů mělo osobám, jejichž údaje zpracovává, poskytnout základní údaje o takovém zpracování. Jedná se o:
S informačním memorandem je vhodné členy SVJ seznámit na nejbližším shromáždění. Následně by mělo být informační memorandum vyvěšeno na domovní nástěnce.
V případě změn je nezbytné jak záznamy o zpracování, tak informační memorandum pravidelně aktualizovat.
Náležitá dokumentace je z pohledu GDPR základ. Tím to však nekončí. Dokumentaci je třeba implementovat do vnitřního chodu SVJ a postupovat podle ní. To znamená pravidelně vyhodnocovat, zda nedošlo ke změně ohledně zpracování osobních údajů a dokumenty pravidelně aktualizovat.
Dodržování předpisů na ochranu osobních údajů je kontinuální proces, který se nedá odbýt tím, že si předseda společenství vlastníků stáhne z internetu balíček vzorových dokumentů. SVJ se nevyhne sledování novinek v oblasti ochrany osobních údajů a přizpůsobování interních procesů nové právní úpravě nebo budoucí rozhodovací praxi Úřadu pro ochranu osobních údajů.
Pro ty, kteří se cítí zahlceni povinnostmi spojenými s GDPR, existuje na trhu mnoho produktů a služeb, které mohou pomoci s implementací. Tyto nástroje mohou hlídat novinky v oblasti ochrany osobních údajů a v případě změn právních předpisů automaticky aktualizovat dokumentaci.
Pokud SVJ provozuje kamerový systém, GDPR pro ně nepřináší zásadní změny, pokud již dodržovalo dřívější povinnosti vyplývající ze zákona na ochranu osobních údajů. Již není nutné se registrovat u Úřadu pro ochranu osobních údajů před spuštěním kamerového systému.
Nadále platí, že ochraně osobních údajů podléhá pouze kamerový systém se záznamem určený k identifikaci osob. Jiné kamerové systémy (bez záznamu nebo bez možnosti identifikace konkrétní osoby ze záznamu) GDPR nepodléhají.
GDPR nahradilo českou právní úpravu, kterou představoval zákon č. 101/2000 Sb., o ochraně osobních údajů. Týká se každého společenství vlastníků či bytového družstva, které při své činnosti zpracovává osobní údaje jednotlivých vlastníků jednotek, družstevníků, nájemníků či podnájemníků.
Společenství vlastníků ani bytové družstvo se při svém každodenním právním jednání nevyhne povinnostem, které nastolilo GDPR. Z toho plynou související právní povinnosti, zejména povinnost analyzovat, zda je konkrétní zamýšlené jednání v souladu s GDPR, a pokud ke zpracování osobních údajů dojde, pak musí být splněny i další legální povinnosti vůči subjektům údajů.
Ochrana osobních údajů ve společenstvích vlastníků jednotek a bytových družstvech je legislativním požadavkem a odborným tématem, kterému je třeba věnovat náležitou pozornost.
V České republice bylo k roku 2021 registrováno přibližně 73 000 společenství vlastníků jednotek a přibližně 7 500 bytových družstev. Tyto subjekty představují významnou část právnických osob, na které se GDPR vztahuje.
Na rozdíl od mnoha kapitálových společností, které mohou být neaktivní, jsou SVJ a BD nutně aktivními subjekty, což vyplývá z podstaty jejich činnosti.
GDPR bylo zavedeno s cílem reagovat na zvýšenou výměnu osobních údajů mezi veřejnými a soukromými aktéry v celé Unii. Cílem je vytvořit pevný a soudržnější rámec pro ochranu osobních údajů a nastolit důvěru nezbytnou pro rozvoj digitální ekonomiky.
Dalším důvodem je masivní nástup technologického pokroku v oblasti zpracovávání osobních údajů, zejména jeho automatizované formy.
Společenství vlastníků jednotek jsou právnické osoby založené podle zákona o vlastnictví bytů nebo občanského zákoníku. Jejich činnost je omezena na správu, provoz a opravy společných částí domu.
Pro bytové družstvo se uplatní ustanovení občanského zákoníku, dle kterého družstvo vede seznam členů a zapisuje do něj jejich identifikační údaje.
Do července 2020 SVJ neměla výslovnou povinnost vést evidenci členů. Nicméně, tato evidence byla fakticky nezbytná pro plnění jiných povinností, jako je vyúčtování, a byla podporována i odbornou advokátní veřejností.
Od 1. července 2020 je tato povinnost uzákoněna výslovně v občanském zákoníku.
Dle občanského zákoníku je osoba odpovědná za správu domu povinna vést seznam vlastníků jednotek a osob, kterým vlastník přenechal byt k užívání, v rozsahu stanoveném zákonem.
SVJ může zpracovávat i další údaje, například informace plynoucí z nabývacího titulu vlastníka pro účely uplatňování práv vzniklých vadou jednotky.
Specifické údaje SVJ eviduje o svých statutárních a volených orgánech. Občanský zákoník například požaduje, aby člen voleného orgánu byl svéprávný a bezúhonný.
Od 1. ledna 2021 je společenství vlastníků povinno archivovat po celou dobu své existence zápisy ze shromáždění včetně příloh. To se týká i dokumentů souvisejících s rozhodováním orgánů mimo zasedání v písemné formě.
Mezi tyto archivované údaje patří například údaj o přítomnosti či nepřítomnosti člena na shromáždění a jeho podpis na prezenční listině.
Vzhledem k tomu, že výkon funkce člena voleného orgánu v SVJ je postaven na roveň zaměstnaneckému poměru, mělo by SVJ plnit také povinnosti zaměstnavatele dle zákoníku práce, včetně vedení osobního spisu.
Společenství vlastníků a bytová družstva mají zákonem stanovenou povinnost sdělovat určité informace třem základním kategoriím subjektů, přičemž ve značné části jsou tak povinny sdělovat i osobní údaje.
Občanský zákoník zakotvuje právo člena SVJ na informace o jiném členovi, včetně práva nahlížet do seznamu členů a pořizovat si opisy.
Údaje zapsané v seznamu členů může družstvo používat pouze pro své potřeby ve vztahu ke členům družstva. Pro jiné účely mohou být tyto údaje použity jen se souhlasem členů, kterých se týkají.
Zákonnost zpracovávání evidence jména a bydliště vlastníka a osob odvozujících svá užívací práva je dána.
Pro účely bezpečnosti, požárních předpisů a uplatňování nároků vůči vlastníkům a uživatelům bytů je vhodné, aby osoba odpovědná za správu domu měla co nejaktuálnější údaje o pobývání osob v domě.
Možnost okamžitě kontaktovat členy SVJ nebo hromadně oslovovat vlastníky elektronickou formou je praktická a sleduje účely bytového spoluvlastnictví. Například při havárii vody je okamžité zkontaktování vlastníka dotčeného bytu zcela nutné.
Součástí zákonné povinnosti na straně společenství vlastníků a bytových družstev chránit zpracovávané osobní údaje je i povinnost dostatečně důkladně ověřit, že subjekt, který o sdělení takových osobních údajů žádá, je k tomu skutečně oprávněn.
Metodika ověřování oprávněnosti bude záviset na poměrech v daném místě a čase, od malého bytového domu s několika málo byty až po velké bytové domy se stovkami jednotek.
Obecná povinnost subjektů poskytovat informace policejnímu orgánu je upravena trestním řádem. Předání informací prostřednictvím datové schránky či v listinné podobě nezakládá obavy.
V případě, že policejní orgán žádá o sdělení informací telefonicky či osobně, například o místo pobytu osoby v případě mimořádné události, zájem na jejím zdraví nebo bezpečnosti jiných osob může převážit nad formalistickou kontrolou identity volajícího.
Cizinecká policie se může obrátit na SVJ s dotazem, zda se určitá osoba v domě pohybuje a zda tam má bydliště, například v souvislosti s prověřováním legálnosti pobytu.
V praxi se mohou vyskytnout i žádosti o zjišťování osobních údajů ze strany Národního bezpečnostního úřadu o osobách žádajících o bezpečnostní prověrku.
V případě identifikace soudu nebo soudního exekutora obvykle nedochází ke komplikacím, neboť komunikují datovou schránkou. Situace se soudním vykonavatelem je méně častá.
Pojem "součinnost" v kontextu exekučního řádu může činit potíže při posuzování, zda postup SVJ či BD je v souladu s GDPR. Existují rozdílné názory na to, zda lze z ustanovení exekučního řádu dovodit povinnost součinnosti zaměstnavatele vůči exekutorovi.
tags: #urad #pro #ochranu #osobnich #udaju #spolecenstvi